Vài năm trở lại đây, chúng ta thường nhận lời khuyên về việc thay đổi mật khẩu một cách thường xuyên. Ý tưởng tuyệt vời này sẽ giúp bạn giảm khả năng bị lộ mật khẩu, và một kết quả tất yếu rằng bạn sẽ được an toàn hơn.
Bên cạnh đó, cũng có một số cá nhân dùng kiểu mật khẩu xoay vòng ( password rotation), nó là một danh sách tập hợp tất cả các mật khẩu mà họ đã từng sử dụng.
Hầu hết các ứng dụng đã kiểm tra cho kết quả rằng mật khẩu mới của họ thì không giống như mật khẩu cũ, và một số người dùng cũng đặt những mật khẩu khác nhau cho mỗi ứng dụng và dịch vụ của họ.
Người dùng cũng nhận biết được những thay đổi nhỏ trong mật khẩu được tính là sự điều chỉnh hơn là thay đổi mật khẩu.
Một vấn đề nghiêm trọng khác với mật khẩu xoay vòng trong mạng công ty, đó là bộ phận IT thường xuyên áp đặt việc thay đổi mật khẩu vào mỗi thứ hai đầu tiên của tháng.
Có cần đặt lại mật khẩu không ?
Nếu bạn đã nghe câu hỏi ở trên, bạn sẽ biết rằng việc không thay đổi mật khẩu thì vẫn chấp nhận được. Khi bạn muốn thay đổi mật khẩu hãy thực hiện điều đó bằng mọi cách, và nếu bạn sử dụng trình quản lý mật khẩu, điều đó thật dễ dàng để thực hiện. Nhưng thời điểm mà bạn cảm thấy bắt buộc phải thay đổi mật khẩu là khi có một lý do rõ ràng hoặc nghi ngờ rằng mật khẩu đã bị lộ.
May mắn thay, trong nhiều vụ rò rĩ dữ liệu gần đây (không phải là tất cả), nơi dữ liệu xác thực bị đánh cắp, kẻ trộm không sử dụng mật khẩu trùng với tên đăng nhập của bạn.
Mật khẩu thường được lưu trữ dưới dạng băm nhỏ, nơi được sử dụng để xác minh rằng mật khẩu được cung cấp là chính xác, nhưng không thể dịch ngược lại để biết được mật khẩu chính xác là gì. Vì thế nếu kẻ trộm muốn bẻ khóa mật khẩu, trước tiên chúng sẽ sử dụng một danh sách gồm nhiều mật khẩu để phỏng đoán cho đến khi tìm thấy mật khẩu phù hợp so với mật khẩu đã bị băm của bạn.
Nói một cách đơn giản hơn là mật khẩu của bạn càng dài và phức tạp thì sẽ mất nhiều thời gian hơn để bẻ khóa.
Đầu tiên họ sẽ thử mật khẩu đơn giản nhất như là 123456 rồi tiếp theo là các mật khẩu phức tạp hơn Pa55word, việc thử mật khẩu như thế này sẽ tốn rất nhiều thời gian.
Nói cách khác, nếu nhà cung cấp dịch vụ thông báo cho bạn rằng mã băm mật khẩu đã bị kẻ gian lấy được, bạn vẫn an toàn nếu bạn thay đổi mật khẩu của mình trước khi kẻ gian bắt đầu bẻ khóa.
Chúng ta nhanh như thế nào?
Đáng buồn thay, một bài báo xuất bản gần đầy từ đại học Carnegie Mellon ở Hoa Kỳ cho thấy rằng một số lượng đáng lo về việc này.
Bài báo có tựa đề (làm thế nào) Mọi người thay đổi mật khẩu của họ sau khi rò rĩ dữ liệu ?các nhà nguyên cứu cho biết: “ nhận thấy rằng có rất ít người tham gia vào một nguyên cứu trực tuyến đã báo cáo về ý định thay đổi mật khẩu sau khi được thông báo rằng mặt khẩu của họ bị xâm phạm hoặc sử dụng lại, vì họ tin rằng mật khẩu của họ là “ bất khả xâm phạm”.
Phản thừa nhận rằng tầm quan trọng của những phát hiện trong bài báo bị hạn chế phần nào bởi độ tuổi của dữ liệu( được thu thâp vào năm 2017- 2018) với quy mô nhỏ gồm 63 nạn nhân trong số 249 người tham gia. Tuy nhiên, nguyên cứu cho thấy 42 trong 63 người tham gia ( khoảng 2/3) được thông báo là rò rĩ dữ liệu hoàn toàn không thay đổi bất kỳ mật khẩu nào của họ.
Chúng ta để tâm như thế nào ?
Ngay cả khi 1/3 nạn nhân còn lại đã tiến hành thay đổi mật khẩu, họ cũng mất tới 3 tháng để làm điều đó, và một số trường hợp còn đặt mật khẩu “yếu” hơn mật khẩu cũ. Điều này không có gì là ngạc nhiên, các nhà nguyên cứu tuyên bố rằng những người đã thay đổi mật khẩu có xu hướng chọn mật khẩu thay thế tương tự.
Nói cách khác, nếu bạn không sử dụng trình quản lý mật khẩu để tạo mật khẩu random, các nguyên cứu suy luận rằng các lựa chọn mật khẩu của bạn sẽ có xu hướng ảnh hưởng lẫn nhau và do đó theo giời gian mật khẩu của bạn sẽ ít thay đổi hơn .
Entropy là thuật ngữ chỉ “ sự rối loạn” như thế nào, độ rối loạn cao hơn thì mật khẩu của bạn sẽ khó đoán hơn.
What to Do ?
Don’t delay, do it today. Nếu có lý do chính đáng để thay đổi một trong các mật khẩu, hãy làm điều đó ngay lập tức để đề phòng kẻ gian.
Don’t take shortcuts. Kẻ gian sẽ phát hiện ra bất kỳ thủ thuật hoặc kiểu mẫu nào bạn sử dụng để làm mật khẩu trong khác biệt nhưng lại dễ nhớ, ví dụ u64b2vqtn5-fb for Facebook và u64b2vqtn5-tw for Twitter, nhờ đó họ sẽ tìm mật khẩu qua các ứng dụng khác của bạn.
Don’t think you’re invincible. Kẻ gian có thể sẽ không bẻ khóa mật khẩu của bạn nếu đó là 6GHENBIZMX3TTUHJTPQZTEKM, nhưng tại sao lại phải chấp nhận rủi ro như vậy?
Don’t use 2FA as an excuse. Đừng lạm dụng 2FA để chọn mật khẩu đơn giản, hoặc sử dụng một mật khẩu ở mọi nơi.